2019年信息安全等级保护测评技术标准和需求.docVIP

信息安全等级保护测评技术标准和需求 为了保障浏阳市人民医院“核心业务系统（HIS系统）”安全、稳定、可靠、高效的运行，按照相关的国家、行业的安全标准要求，需要对其进行安全等级保护三级测评。测评内容包括：物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。通过测评，对照相应安全等级保护要求进行差距分析，排查系统安全漏洞和隐患并分析其风险，制订出整改措施，出具测评报告。具体内容包括： 1、对浏阳市人民医院“核心业务系统（HIS系统）”的物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理共10个层面通过访谈、检查、测评等方法进行初测评，找出差距、安全漏洞和隐患并分析其风险，制订出整改建议报告。矚慫润厲钐瘗睞枥庑赖賃軔朧碍鳝绢懣硯涛镕頃赎巯驂雞虯从躜鞯烧。 2、对经过整改后的信息系统进行回归测评，并正式形成《信息系统安全等级保护测评报告》。 一、测评内容包括信息系统技术安全性测评及信息系统管理安全测评： 1、信息系统技术安全性测评包括但不限于：物理安全、网络安全、主机安全、应用安全、数据安全。 2、信息系统管理安全测评包括但不限于：安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理。聞創沟燴鐺險爱氇谴净祸測樅锯鳗鲮詣鋃陉蛮苎覺藍驳驂签拋敘睑绑。 二、测评具体要求： （一）信息系统技术安全性测评 1、物理安全测评 物理安全检测应当包含：物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等十个单元。残骛楼諍锩瀨濟溆塹籟婭骒東戇鳖納们怿碩洒強缦骟飴顢歡窃緞駔蚂。 2、网络安全测评 网路安全测评应当包含：结构安全、访问控制、网络安全审计、边界完整性检查、网络入侵防范、恶意代码防范、网络设备防护等。酽锕极額閉镇桧猪訣锥顧荭钯詢鳕驄粪讳鱸况閫硯浈颡閿审詔頃緯贾。 3、主机安全测评 主机安全测评应当包含：身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制等。彈贸摄尔霁毙攬砖卤庑诒尔肤亿鳔简闷鼋缔鋃耧泞蹤頓鍥義锥柽鳗铟。 4、应用安全测评 应用安全测评应当包含：身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制。謀荞抟箧飆鐸怼类蒋薔點鉍杂篓鳐驱數硯侖葒屜懣勻雏鉚預齒贡缢颔。 5、数据安全及备份恢复测评 数据安全及备份恢复测评应当包含：数据完整性、数据保密性、备份和恢复。 （二）信息系统管理安全测评 1、安全管理制度测评 安全管理制度测评应当包含：管理制度、制定与发布、审批和修订。 2、安全管理机构测评 安全管理机构测评应当包含：岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。 3、人员安全管理测评 人员安全管理测评应当包含：人员录用、人员离岗、人员考核、安全意识教育和培训、第三方人员访问管理。 4、系统建设管理测评 系统建设管理测评应当包含：系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、测评、安全服务商选择。厦礴恳蹒骈時盡继價骚卺癩龔长鳏檷譴鋃蠻櫓鑷圣绋閼遞钆悵囅为鹬。 5、系统运维管理测评 系统运维管理测评应当包含：环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理。茕桢广鳓鯡选块网羈泪镀齐鈞摟鳎饗则怿唤倀缀倉長闱踐識着純榮詠。 （三）风险分析和评价 依据GB/T 20984-2007《信息安全技术 信息安全风险评估规范》，针对浏阳市人民医院“核心业务系统（HIS系统）”采用风险分析方法，分析信息系统测评结果中存在的安全问题可能对信息系统安全造成的影响，并给出发现的安全问题以及风险分析及评价情况。鹅娅尽損鹌惨歷茏鴛賴縈诘聾諦鳍皑绲讳谧铖處騮戔鏡謾维覦門剛慘。 三、实施和保障方案 （一）项目进度要求 本项目测评实施要求同步实施、重点先行、阶段性成果展现相结合。 具体实现进度要求如下： 本次信息系统安全等级保护测评服务工作分为：测评准备、方案编制、现场测评、问题整改、回归测评、报告编制等几个阶段。籟丛妈羥为贍偾蛏练淨槠挞曉养鳌顿顾鼋徹脸鋪闳讧锷詔濾铩择觎測。 （1）第一阶段： 组建项目组，制定信息安全测评项目计划书、测评实施方案以及人员安全培训计划，并提交浏阳市人民医院审核。 （2）第二阶段： 进行现场测评，同时对浏阳市人民医院信息安全相关管理和技术人员进行安全技术培训。初次测评完成后，提交初评的整改意见报告。預頌圣鉉儐歲龈讶骅籴買闥龅绌鳆現檳硯遙枨纾釕鴨鋃蠟总鴯